APT29

APT29（AKA CozyBear、The Dukes、Group 100、CozyDuke、EuroAPT、CozyCar、Cozer、Office Monkey、YTTRIUM、Iron Hemlock、Iron Ritual、Cloaked Ursa、Nobelium、Group G0016、UNC2452、Dark Halo、NobleBarron）は、2008年から活動している高度持続的脅威行為者（APT）であり、ロシア政府の対外情報庁（SVR）の製品と考えられています。APT29のような技術的な規律と洗練性を示す脅威行為はほとんどなく、特にITセキュリティの防御戦術に適応し、防御が万全なネットワークに侵入し、アンチフォレンジック機能を備えたマルウェアを展開する能力に優れています。

APT29の主な標的は、政府および政府の下請け企業、政治団体、研究企業、および当社 と欧州のエネルギー、医療、教育、金融、テクノロジーなどの重要産業です。APT29は主に、国家安全保障を混乱させ、重要インフラに影響を与え、政治的干渉を引き起こすことを意図しています。

2015:APT29がフィッシングで国防総省のネットワークに初期アクセスし、C2通信にダミーのTwitterアカウントを使用する「Hammertoss」テクニックを導入

2016:GRIZZLY STEPPE」として知られるキャンペーンで、APT29は、当社 選挙間近に、なりすましたウェブサイトを使ってパスワードを変更するよう被害者に指示するフィッシング・キャンペーンを通じて、民主党全国委員会のサーバーに侵入した。

2019年：EUの3つの国務省と、ワシントンD.C.を拠点とするEU加盟国の大使館が妥協する。

2020:カナダ、当社 、イギリスのCOVID-19ワクチン開発者を危険にさらすため、一般向けIPアドレスの脆弱性スキャンを実施。

2020:SolarWinds Orionソフトウェアを攻撃するマルウェアSUNBURSTを配布し、多くのグローバル組織に影響を与えたリモートアクセストロージャン（RAT）を投下。

APT29は、高度な運用能力を示す高度で継続的に進化するステルス技術を採用しています。例えば、APT29のマルウェアは、Twitter、Dropbox、GitHubなどの有名な公開ウェブサイトから第一段階のコマンド・アンド・コントロール（C2）の指示を収集することで、基本的なファイアウォール防御を回避することを可能にしました。このマルウェアは、C2ドメインやIPアドレスのハードコード化を避けるため、動的なユーザー名アルゴリズムを賢く採用していました。もう1つの例では、APT29のマルウェアはステガノグラフィを使用して画像内のC2ロケーションを暗号化し、ファイアウォール、URLフィルタ、セキュリティ製品（最新の脅威インテリジェンスで武装した製品でさえも）を回避できるようにしていました。  

C2のバックエンドでは、APT29は新たに侵害されたポーン資産のリストを常に更新し、正規プロバイダの静的なクラウドインフラへの依存を回避しています。

tDiscoverrer/Hammertoss：TwitterやGitHubのようなソーシャルメディア・プラットフォームを利用してC2通信を隠し、発見を回避する。

CosmicDukeさまざまなアプリケーションからログイン情報を収集し、攻撃者が管理するC2サーバーに転送することができる情報窃盗犯。

CozyCar：異なる機能を持つコンポーネントをインポートして攻撃を拡張できるモジュラー型RAT

LiteDuke：難読化のために複数の暗号化レイヤーを使用し、Windowsレジストリキー、PowerShell、Windows Management Instrumentationを含む永続化のために複数のテクニックを使用する第3段階の情報窃盗犯。

RegDuke：.NETで書かれた第一段階のマルウェアで、DropBoxをC2サーバーとして二次マルウェアをダウンロードし、自身をwinword.exeバイナリにインジェクションすることで永続性を維持する。

MiniDuke：コンパイルされたプログラミング言語ではなく、x86アセンブリで開発された第2段階のダウンローダーで、ドメイン生成アルゴリズムを使って動的にC2サーバーの位置を特定する。

PolyglotDuke：ステガノグラフィと Twitter、Reddit、Imgur ウェブサイトを使用して C2 サーバーの場所を取得することができる、第2段階のダウンローダー型マルウェア。

SeaDukePythonで書かれ、Microsoft Windows、Linux、macOS、Solarisベースのプラットフォーム上で実行できるようにコンパイルされた、第2段階の情報窃取RAT

APT29 は、当社 政府機関を侵害し、SolarWinds のような大企業の IT 企業に侵入するという一貫した記録を残しており、その献身と能力を証明しています。APT29に狙われた組織を防御するには、電子メールやWebコンテンツのフィルタリング、マルウェアを検知して組織のネットワークへの侵入を防ぐ高度なアンチウイルス、マルウェア感染を効果的かつ効率的に特定し、マルウェアの滞留時間を短縮して重要な資産への影響を防ぐための迅速な対策を講じるエンドポイント検知・応答（EDR）またはマネージド検知・応答（MDR）など、最先端のセキュリティ・ソリューションを活用した本格的な企業サイバーセキュリティ・プログラムに勝るものはありません。

APT29を防御できる効果的なサイバーセキュリティ・プログラムは、最小特権の原則、深層防御、ゼロ・トラスト・アーキテクチャ、多要素認証を念頭に置いて設計され、重要な資産をセグメント化して保護し、攻撃者が最初の足掛かりを得た場合に引き起こす可能性のある損害を減らすべきである。